La aparición de un nuevo malware de Android, conocido como xHelper, ha llamado la atención de los expertos en forense digital y las firmas antivirus debido a un peligroso mecanismo para reinstalarse por sí mismo en el dispositivo infectado, lo que lo hace casi imposible de remover.
Los primeros reportes de infección por xHelper se presentaron en marzo, comenzando con algunos cientos de dispositivos, aunque ahora se calcula que el número de smartphones infectados supera los 45 mil. Además, un reporte de la firma de seguridad Symantec menciona que más de 120 nuevos dispositivos son infectados a diario.
Respecto al vector de ataque, los expertos en forense digital mencionan que los operadores del malware logran infectar los dispositivos redirigiendo a las víctimas a sitios web que ofrecen apps para Android desarrolladas por terceros y que no se encuentran en Play Store. El código en estas apps descarga el troyano xHelper.
Si bien este malware no se enfoca en la destrucción o robo de datos, los investigadores que lo han analizado concluyen que el troyano es capaz de mostrar anuncios emergentes y notificaciones basura de forma intrusiva y persistente. En estos anuncios y notificaciones se invita a las víctimas a instalar otras apps de terceros, por lo que lo más probable es que los operadores de xHelper obtengan ingresos por cada instalación de estas apps.
La conducta de xHelper ha dejado impresionados a los investigadores, pues descubrieron que, a diferencia de otras variantes de malware de sistema operativo móvil, xHelper es capaz de instalarse como un servicio independiente después de la instalación de la app donde está contenido. “Es por esta razón por la que desinstalar la app inicial no eliminará este malware del dispositivo infectado”, añaden los expertos.
Otra característica intrigante de este malware es su capacidad de reinstalarse a sí mismo: “Aún si los usuarios logran detectar el servicio de xHelper en las apps del sistema operativo, no es posible eliminarlo de forma convencional. Si es eliminado, xHelper vuelve a aparecer en el SO, sin importar que el usuario haya realizado un reinicio de fábrica”, mencionan los expertos en forense digital. Este malware incluso es capaz de activar la opción de ‘Instalar aplicaciones de fuentes desconocidas’ por sí mismo.
Aunque algunos usuarios han logrado eliminar definitivamente este malware usando herramientas antivirus de paga, al parecer esta no es una opción funcional para todas las víctimas de xHelper. Expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que esto se debe a la constante evolución del malware, pues los operadores siguen enviando actualizaciones del código de xHelper.
El peligro no termina ahí, pues las firmas antivirus que han analizado este malware consideran probable que los operadores incluyan nuevas y más riesgosas funciones, como la instalación de otras apps maliciosas, infecciones de ransomware, troyanos de robo de información, código de botnet y más. Los usuarios preocupados por la seguridad de sus dispositivos móviles pueden verificar los servicios en ejecución de su SO y, en caso de encontrar indicios de infección, buscar la mejor opción para remover xHelper de forma definitiva.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad